银行安全评估.ppt

1 项目概述实施方案时间及人员安排 提纲 2 项目概述 背景 电子银行带来的发展机遇与挑战 服务触角向客户延伸 拓展了业务渠道 极大地方便了客户 新技术的运用增加了一些传统风险 同时带来了另外一些新的风险 战略风险信用风险流动性 利率 价格 市场风险交易或操作风险符合性 法律风险声誉风险为管理电子银行安全风险 一系列行业规章制度标准指南出台 巴塞尔银行监管委员会 中国银监会 我行初步完成了电子银行系统开发与建设 需要了解系统安全状态 安全所处的位置 与相关行业规章制度标准指南的符合性 3 掌握电子银行系统的应用及安全状况 按照银监会相关要求完成电子银行系统的安全评估 提出改进建议或方案 项目概述 目标 4 项目概述 评估参考依据 国家标准 信息安全风险评估指南 信息安全风险管理指南 银监会规章制度指南 商业银行内部控制评价办法 银行业金融机构信息系统风险管理指引 银行业金融机构内部审计指引 电子银行业务管理办法 电子银行安全评估指引 其它相关 电子银行风险管理原则 巴塞尔银行监管委员会 bs7799 iso27000系列 5 组织范围总部it部门 业务部门 风险管理部门 审计部门 分支机构 系统范围网上银行信息网站交易网站atm 手机银行 自助银行电话银行 工作范围电子银行安全评估电子银行安全及风险控制体系建议 项目概述 范围 6 项目概述实施方案时间及人员安排 提纲 7 实施方案 评估总体思路 业务层面 业务流程建设 业务操作 业务流程建设 流程基本评估 业务应用控制 与业务有关的it控制 需要分解流程步骤 针对每一步进行 业务控制 需要分解流程步骤 针对每一步进行 系统平台层面 与电子银行相关的系统平台 即it基础设施 应用支撑平台 如果物理 网络 系统平台 数据库等 应用系统与电子银行相关的总体层面 it管理层面 这个层面是为所有it业务应用系统服务的 因此会影响到电子银行系统 it治理环境 含组织架构 风险管理或控制框架 控制环境 风险评估 信息沟通 监控等 系统规划与建设 生命周期管理 主要是开发与获取 日常运维管理 日常的事件管理 变更 发布管理 巡检 及其它操作如 备份 监控 定期报告等 业务持续性计划 bcp 外包管理信息安全管理 作为机构it业务应用系统之一 电子银行系统需要与其它业务应用系统一起纳入机构全面的风险管理体系中 电子银行风险评估涉及三个层面 8 安全管理评估 策略 组织架构 制度 安全策略 电子银行系统整个生命周期的策略建设 组织架构与人员安排 与电子银行系统相关组织建设与人员安排 管理制度建设 与风险管理 开发与获取 安全管理 运营管理 内部控制 应急响应 业务连续性 外包等 it基础设施安全评估支撑平台物理环境 物理环境 机房环境 介质与设备安全 网络平台 网络结构 网络管理 网络安全 系统平台 业务主机 操作系统安全 数据库安全等 应用系统安全身份鉴别与访问控制 交易安全 数据安全 传输 处理 存储 密钥安全 输入输出合法性 异常处理 日志与审计 系统可用性 业务风险评估业务流程建设 业务应用控制 业务控制 实施方案 评估内容 9 实施方案 安全管理评估 目标评估当前电子银行相关安全方针与策略是否完备 已有的策略是否得到了有效的执行 评估要点安全策略制定的流程与合理性 与电子银行相关的总体 战略 规划 与电子银行系统相关的风险管理策略 与电子银行系统相关的开发与获取策略 与电子银行系统安全管理及内部控制相关的策略 与电子银行系统相关的运维管理策略 与电子银行系统相关的业务持续性与应急安全策略 与电子银行有关的外包管理策略 客户信息安全策略 评估方法安全策略文档审阅 安全策略部署检查 安全策略评估 10 实施方案 安全管理评估 续 目标评估与电子银行管理相关的机构与人员设置是否合理 评估要点组织机构设置的合理性与协调性 包括系统管理 风险管理 审计部门 人员配备 体现制约关系 人员技能与培训 评估方法岗位职责审阅 安全意识 技能 培训访谈 对工作人员资格情况的检查 组织架构与人员安排评估 11 实施方案 安全管理评估 续 目标检查电子银行是否建立和实施了一套完整的对运行中涉及的各类风险进行识别 监测 衡量和控制的风险管理制度 评估要点电子银行风险管理部门主要负责人对电子银行风险的熟知程度 电子银行风险管理的规章制度与操作规定 程序等 包括 风险模型定义 相关职责划分 人员安排 与目标设定 风险识别 风险评估 风险控制以及风险监测相关的流程及操作程序 电子银行业务风险管理状况 评估方法对所建立的电子银行风险管理模型及框架进行检查 与电子银行有关的风险管理制度及执行情况检查 对其他方面的检查 风险管理评估 12 实施方案 安全管理评估 续 目标检查电子银行系统的开发与获取过程是否得到适当的控制 评估要点与开发及获取相关的职责安排 组织架构是否合理 开发及获取的标准 方法论及实践 电子银行系统质量保证过程 开发及获取变更控制过程 电子银行系统补丁与发布管理 与电子银行相关文档的管理与控制 评估方法审查开发与获取流程 审阅与电子银行相关的资料文档 开发与获取评估 13 实施方案 安全管理评估 续 目标检查电子银行日常安全管理制度是否完善 各项安全制度是否得以落实 评估要点与电子银行系统安全管理有关的制度建立及其执行情况 包括 物理安全 数据通讯安全 应用系统安全 密钥管理 客户信息认证与保密 入侵监测机制和报告反应机制 评估方法对电子银行安全管理框架进行检查 电子银行安全管理制度及执行情况检查 信息安全管理评估 14 实施方案 安全管理评估 续 目标检查电子银行日常运营制度及流程是否完善 各项运营制度及流程是否得以落实 评估要点事件管理流程 问题管理流程 变更管理 发布管理流程 配置管理流程 能力管理流程 用户支持 其它日常操作流程 如 巡检 备份 监控 定期报告等 评估方法对电子银行运营架构进行检查 电子银行运营制度及执行情况检查 运营管理评估 15 实施方案 安全管理评估 续 目标检查电子银行针对所具有风险是否建立和实施了完整内部控制体系 把风险控制到组织可以接受的范围内 评估要点内控管理层对电子银行内部控制的认知能力与水平 控制环境建设情况 控制机制执行情况 沟通与监控机制的建设与运行情况 内部审计制度的建设与运行情况 评估方法通过访谈 文档查阅 观察等方法进行控制设计有效性评估 通过符合性检查 测试评价电子银行内部控制的运作情况 是否如描叙一致 内部控制评估 16 实施方案 安全管理评估 续 目标检查电子银行业务的应急响应及业务连续性计划或制度是否完善 评估要点业务影响分析情况 风险分析情况 bcp相关计划与制度制定情况 定期演练情况 评估方法bcp文档审查 演练记录核查 业务连续性及应急响应评估 17 实施方案 安全管理评估 续 目标评估机构的信息系统与技术服务外包风险管理过程的有效性 评估要点电子银行外包需求定义流程 tsp尽责调查程序 服务合约是否完善有效 服务监控是否有效 评估方法相关流程查阅 服务合约查阅 审查与电子银行外包需求定义 tsp尽责调查 服务监控有关的记录文档 外包管理评估 18 实施方案 it基础设施安全评估 目标分析电子银行系统主要信息资产面临的威胁 存在的弱点 并结合资产价值 综合评价安全风险 评估要点资产分析 威胁分析 弱点分析 已有控制分析 风险分析 评估方法访谈 自动扫描 手工检测 渗透测试 安全分析 19 实施方案 it基础设施安全评估 续 识别信息资产 搜集电子银行系统信息资产信息 确定信息资产的所有者 管理者和使用者 确定信息资产价值 通过对信息资产的机密性 完整性和可用性进行赋值获得信息资产的价值 威胁评估 识别信息资产可能面临的威胁来源和威胁类型 从列表中进行选择 并对这两项内容进行赋值 脆弱性评估 对应信息资产已经识别出来的威胁选择信息资产本身具有的脆弱性 并对脆弱性进行赋值 获得信息资产风险值 当信息资产的价值 威胁值和脆弱性值都赋值结束后 风险评估表自动计算出该信息资产的风险值 针对关键信息资产的风险评估 20 目标根据电子银行的业务特征 建立相关业务模型 深入分析评估业务流程中存在的风险环节 评估要点业务流程建设 业务应用控制 业务控制 评估方法通过人员访谈 文档查阅或现场观测收集业务流程相关信息 按照评估要点对现有业务流程进行分析 通过综合分析评价业务流程的风险 实施方案 业务风险评估 21 调查主要用于评估对象现状信息收集 调查包括问卷 远程访谈与现场访谈 检查主要用于信息收集及弱点分析 包括文档检查 记录核查 配置检查等 测试主要用于弱点分析 包括手工测试 自动工具测试以及综合性的渗透测试 人工分析主要用于资产分析 威胁分析 安全措施分析及安全评价 实施方案 评估手段 22 实施方案 评估流程与活动 渗透测试 手工检测 it基础设施安全评估 安全访谈 自动工具扫描 安全管理评估 文档审核 符合性检查 业务风险评估 业务控制访谈 业务流程建模 管理访谈 改进建议 技术改进 管理改进 综合评价 资产安全评价 业务风险评价 安全管理评价 信息收集 访谈 资料收集 问卷调查 了解电子银行系统的基本信息 风险管理体系的健全性 符合性与有效性 实际的it安全状态 业务层面风险控制状态 业务控制核查 23 调查问卷现场访谈表评估表或checklist自动化测试工具评价工具 实施方案 评估工具 24 实施方案 项目阶段划分 按照项目执行的先后顺序以及主要的工作内容 项目实施过程可划分为以下五个阶段 25 阶段目标完成项目实施前期工作主要工作内容确定项目任务 目标确定评估范围与内容成立项目组制定项目实施计划收集整理开发各种评估工具项目背景知识培训主要阶段成果 安全评估计划 安全评估调查问卷 安全评估访谈表 各种评估表或checklist 安全评价表 第一阶段 项目准备 26 阶段目标通过调研 收集并整理分析评估对象信息 收集内容涵盖电子银行业务类别 以及各种类别业务从规划 建设 运营到终止整个生命周期的相关信息 重点收集整理分析电子银行应用状况与业务流程信息 业务及it应用现状 主要工作内容填写调查问卷文档收集与查阅现场访谈配置信息 状态信息收集分析整理与电子银行相关的组织架构 it基础设施及以及业务类别业务流程撰写现状报告主要阶段成果 电子银行现状报告 第二阶段 现状调研与分析 27 阶段目标从安全管理 系统安全以及业务风险三个方面对电子银行系统进行全面评估 主要工作内容安全管理安全策略评估组织架构与人员评估管理制度评估it基础设施安全评估支撑平台评估应用系统安全评估业务风险分析业务流程要素分析业务风险评价阶段成果 电子银行安全评估报告 提交银监会 电子银行安全管理评估报告 电子银行it基础设施安全评估报告 电子银行业务流程风险评估报告 各种访谈 检测报告 第三阶段 实施评估 28 阶段目标根据前面评估的结果 确定完善电子银行安全管理需要进行的主